Die Folgen des Brexit für das Datenschutzrecht seit dem 01.01.2021

Zum 01.01.2021 ist das UK endgültig aus der EU ausgetreten mit der Folge, dass europäisches Recht – und damit grundsätzlich auch die DSGVO – nicht mehr für das UK gilt. Auf die Zulässigkeit von Datenflüssen zwischen EU und UK hat der Brexit - jedenfalls vorerst – dennoch keine unmittelbaren Auswirkungen.

Zwar ist das UK mit dem Ende der Übergangsphase zum 31.12.2020 datenschutzrechtlich ein sog. unsicherer Drittstaat geworden, d. h. Datentransfers aus der EU dorthin müssen grundsätzlich den Anforderungen der Art. 44 ff. DSGVO genügen. Allerdings sieht das Handels- und Kooperationsabkommen (EU-UK Trade and Cooperation Agreement, „TCA“) in Art. FIN- PROV.10A eine Interimslösung vor, wonach solche Datentransfers nicht als Übermittlungen an ein Drittland gelten sollen. Damit bleibt es während der Geltung der Übergangsbestimmungen bis längstens zum 30.06.2021 bei dem einheitlichen Datenschutzniveau, für das die DSGVO ursprünglich gesorgt hat. Der Übergangsmechanismus erlaubt es europäischen Unternehmen, personenbezogene Daten weiterhin ohne Abschluss besonderer Garantien, insbesondere der Standardvertragsklauseln der Europäischen Kommission, in das UK zu übermitteln, sowohl konzernintern als auch im Verhältnis zu Dienstleistern oder Geschäftspartnern. Die Frage, wie es nach Geltung der sechsmonatigen Übergangsfrist aus dem TCA weiter geht, hängt maßgeblich davon ab, ob die Europäische Kommission in diesem Zeitraum einen Angemessenheitsbeschluss für UK erlässt. Gelingt dies, stünde auch nach Geltung der DSGVO und der aktuellen Interimslösung ein „angemessenes Datenschutzniveau" im UK fest (wie z.B. auch für die Schweiz oder Japan) und entsprechende Datentransfers wären ohne weitere Maßnahmen der Datenexporteure und -importeure zulässig. Nach einer Stellungnahme der britischen Datenschutzbehörde „Information Commissioner's Office" bemüht sich das UK derzeit um einen solchen Angemessenheitsbeschluss der Europäischen Kommission. Es spricht viel dafür, dass dessen Erlass innerhalb der relativ knappen Übergangsfrist gelingen könnte, da sich an den tatsächlichen Gegebenheiten im Zusammenhang mit dem Datenschutzniveau im UK nichts geändert haben dürfte, seit die DSGVO dort nicht mehr gilt.

Ob eine solche Angemessenheitsentscheidung allerdings auch vor den Europäischen Gerichten halten wird, steht auf einem anderen Blatt: In seinem Urteil vom 6.10.2020 (Rs. C-623/17 - Privacy International) sah der EuGH in der nach UK-Recht geltenden Verpflichtung zur anlasslosen Vorratsspeicherung von Verkehrs- und Standortdaten immerhin einen Verstoß gegen die Unionsgrundrechte, was prima facie ein „angemessenes Datenschutzniveau" infrage stellt. Vor diesem Hintergrund ist nicht auszuschließen, dass die pragmatische Zwischenlösung aus dem TCA doch noch in Rechtsunsicherheit umschlägt.

Unabhängig von der Frage nach der Zulässigkeit von Datenübermittlungen in das UK haben Unternehmen, die ihre Waren oder Dienstleistungen im UK anbieten und über keine Niederlassung dort verfügen, gem. Art. 27 DSGVO - und damit bußgeldbewehrt - einen sog. EU-Vertreter zu benennen.

Fazit

Bisher hat der Brexit auf dem Gebite des Datenschutzrechts nicht zu weitreichenden Änderungen geführt: Europäische Unternehmen können während einer Übergangszeit weiterhin personenbezogene Daten ohne Abschluss besonderer Garantien in das UK übermitteln. Auch nach der Übergangsphase aus dem TCA zum 30.06.2021 ist zu erwarten, dass die EU Kommission einen Angemessenheitsbeschluss für das UK fasst, sodass auch in Zukunft der Datenaustausch unproblematisch möglich sein sollte.